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Titel 

Zt^T V f ^ de ™S des Verlustes der Vertraulichkeit von Daten auf oder mit 
wechselbaren Speichermedien (Datentragern). 

Anwendungsgebiet 

Die Erfindung betrifft ein Verfahren zur Verhinderung des Verlustes der Vertraulichkeit von 

a. ) durch nicht legitimierten Einsatz wechselbarer Speichermedien; 

b. ) bei Verhist wechselbarer Speichermedien. 

Stand der Technik 

Ibeitsplatzcomputer verffigen zunehmend fiber Schnittstellen, fiber die ein unkontrollierter 
n\v aTTT f Dat ^ ustausch wechselbarer Speichermedien stattfmden 

sSto Zt bSChalt T g tf er Sch ^ ttstel1 ^ ist nicht praktikabel, da sie - wie z. B. die USB 
Schnittstelle - zum Anschluss von Peripheriegeraten erwunscht sind. 

%h Jw?° rt R ^ ^ Auftewah ™g wechselbarer Speichermedien erfordern besondere 
V^SSS em T? befilgteS LeS6n ( ° der K °P ieren ^ damit den Verlust der 

Verag^g ' ^ Ma6nahme steht ^ ^tografische Verschlfis- 

Nachteile des Standes der Technik 

CnJr^Z f r T ^ erl ^ bt / S ' 0hne s P eziflsche technische Kenntnisse, Speichermedien an 
£35, ™ Schl + ieJ3en ; Mlt der ^ uasi ^iquitaren Verfugbarkeit nimmt die Gefahr des miss- 
braucWxchen Ernsatzes stettg zu. Dieser Gefahr stehen keine administrativen Kontrollmecha- 
nismen gegenuber. •. 

ffllt h / be r d f ° von der ^SB Schnittstelle ausgehenden Gefahren weist der Arbeitskreis 
iSS n • ^ onferei f de 1 ^Datenschutzbeauftragten des Bundes und der Lander in seiner 
^ br^^ b6i US B-Oeraten« (Nov. 2003) ausdrficklich hin. 

Die kryptografische Verschlfisselung wechselbarer Speichermedien wird auf Anforderung nur 
fur die jewexhge Instanz des Mediums (oder Teile dessen, z.B. einzelne Dateien) angewandt. 

Aufgabe 

n^l^^f-J 8 ^ 68 ' dn Verfahren ™ scha ff^ 5 welches unter Beibehaltung der 
Schnittstellenfimkhonahtat den unerwiinschten Datentransfer mittels wechselbarer Speicher- 
etoscblaSen erwfinschten Datentransfer mittels wechselbarer Speichermedien 

Losung der Aufgabe 

Ein in ein Betriebssystem eingebundenes Programm (i.d.R. bestehend aus mehreren Treibern, 
*iltern, Diensten, etc.) analysiert Protokoll und DatenstrOm von und zu Datentragern, 
Sperchermedien und Penphenegeraten. Unter Einbeziehung der a priori bekannten, ausgewie ' 
senen oder administrate deklarierten Eigehschaften und Praferenzen erfolgt eine selbst- 



-1/5- 



SSeif KlaSsiflkation ^sichtUch der Moglichkeit, als wechselbares Speichermedium zu 




, Alle als wechselbares Speichermedium tauglichen Datentrager oder Gerate werden mit einer 
Verschlusselung belegt. Je nach Implementation werden entweder der Datentrager als Ganzes 
oderledighchDateiinhalteverschlusselt. 

Bei Vorliegen besonderer Identifikationsmerkmale kann die Verschlusselung temporar aui3er 
Kratt gesetzt werden. 

Die Verschltisselung (und Entschliisselung) erfolgt auf einer sehr niedrigen Ebene, quasi 
unmittelbar vor dem Datentrager", so dass sie weder fur Anwendungsprogramme noch fur 
dasBetnebssystemmErscheinungtritt. . 

Vorteile 

Die Erfrndung ermoglicht die Benutzung wechselbarer Speichermedien ohne dass befurchtet 
werden muss, dass diese von Unbefugten kompromittiert werden konnen. Dies gilt nicht nur 

I fur Halbleiterspexcher (wechselbare Festplatten, Memory Sticks, etc.) sondern auch fur alle 
KcDK^ et °° PMefl ° der ° PtiSChen Dat6ntrager (DiSketten ' Zip ' 

Es ist nicht erforderlich, Schnittstellen oder Laufwerke abzuschalten oder gar auszubauen 
Damit kann die voile Funktionalitat der Computerhardware genutzt werden. 

™!^ ht q °f a ? de + n ; ^PP. 1 ^ § von Benutzerauthentifizierung und Schlusselmanagement 
macht die Sicherheit der Speichermedien unabhangig von der Sicherheit des Betriebssystems 
d. n. unsichere, ausgespahte oder notierte Passworte vermindern die Sicherheit nicht. 

Es ist keine Aktion seitens der Benutzer erforderlich, welche durch Fahrlassigkeit oder bose 
Absicht unterbleiben konnte. 

Es ist keine Anderung in der Logik des Betriebssystems oder ein spezielles Dateisystem (etwa 

♦ E f u ^ n?ta>S lle S y stem ) erforderlich. Die spezifischen Vorteile der jeweiligen Dateisy- 
steme (z.B. Datenkompression, Zugriffskontrolle*, etc.) bleiben in vollem Umfang erhalten. 

♦ ,5? *5 m< 2? m ein bestimmtes Dateisystem gebunden, sondern erganzt jedes Dateisy- 
rfS' ( ? a J u ^ ffsk ? ntrolle ist i- A. nur im Binnenverhaltnis wirksam, d. h. auBenstehende 

iiJntte mit Admimstrationsberechtigung kSnnen die Zugriffskontrolle ubernehmen.) 

■eiVerlust oder Entwendung von Datentragern bedeutet dies nicht zugleich den Verlust der 
ertrauhchkeit der darauf enthaltenen Daten. 

Das zur Anwendung kommende kryptografische Verfahren bleibt einem potentiellen Angrei- 
fer unbekannt, womit ein Angriff erschwert wird. 

Damit wird aus einem potentiell unsicheren Speichermedium ein Speichermedium fur beson- 
dere Sicherheitsanforderungen, denn besonders sensible Daten konnen ausschliefilich auf 
wechselbaren Speichermedien gehalten werden, urn durch physischen Verschluss vor unbe- 
fugtem Zugriff geschiitzt zu werden 

Durch Anwendung dieses Verfahrens auf mehreren Computern mit einem gemeinsamen 
bchlussel entsteht eine Sicherheitsdomane. Dabei ist es nicht erforderlich, dass die Computer 
emer Sicherheitsdomane miteinander verbunden sind (z.B. im LAN). Innerhalb einer Sicher- 
heitsdomane wird die Verschlusselung wechselseitig aufgehoben, so dass wechselbare 
speichermedien (etwa zur Datensicherung) uneingeschrankt verwendet werden konnen Die 
vom Betnebssystem zur Verftigung gestellten Mittel der Zugriffskontrolle bleiben dabei 
erhalten. 
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Anspriiche 

1 . Verfahren zur Verhinderung des Verlustes der Vertraulichkeit von Daten mittels wechsel- 
, barer/austauschbarer Speichermedien zur Anwendung in einem beliebigen Betriebssystem 

dadurch gekennzeichnet, dass jedes Dateisystem auf einem wechselbaren Speicher- 
- m ?r5 T eme ^yptografiscihe Verschliisselung erganzt und diese - automatisch oder 
aut Anforderung - auf alle Instanzen dieser Klasse von Speichermedien angewandt wird 
otoe dass sxe fur Anwendungsprograrnme oder fur das Betriebssystem in Erscheinung 

2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass jedes Dateisystem auf einem 
nicnt wechselbaren/austauschbaren Speichermedium urn eine kryptografische Verschlus- 
selung erganzt wird. 

Verfahren nach Anspruch 1 oder Anspruch 2, dadurch gekennzeichnet, dass die krypto- 
grafische Verschliisselung bei Vorliegen besonderer Merkmale temporar aufier Kraft 
gesetzt wird. 

Verfahren zur Bildung eines logischen Zusammenschlusses von Computern zu einer 
Ciruppe, dadurch gekennzeichnet, dass durch Anwendung eines Verfahrens der 
vorhengen Anspriiche innerhalb der Gruppe die kryptografische Verschliisselung 
wecnselseitig aufgehoben, nach auflen bin jedoch aufrecht erhalten wird 



3. 



4. 
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Ausfflhrungsbeispiel 

^ol^ meiAati< ? \ beis P ielsweise ^ da * Betriebssystem Windows - kann dergestalt 
SdriS Fh Sin ? aU ! Filte ™ ™d Treibern erstellt wird, die auf 2u 

i S ^° k0l i" ^ Datenfluss zwis ^en den Anwendungspro^ammen und 

a^L^ dnerSeitS ™ d den Speichennelen andererseS 

3'? " B ^arf - modifiziert. Die Modifikation besteht in der Anwendung einer 
kiyptografischen Verschlusslung. Sie kann (je nach installierter Option) enSr das 
I tbe^Z ^ 2? °n 6r ^ daV ° n ( Dateii ^e) verschhisseln. Die AuTwSl de 
aLt~ se ^ G SchnittStellen LaufWerke ka *» Produktspezifisch festgelegt odS 

kann^tnl^r ^^f 5 Sohliisselverwalter fur die kryptografische Komponente. Er 

bant trSrT m^^ 0 ^ 86 ? SchUiSSel fa ^ Date * oder Daten- 

DStiiS I T u mP ^f mt S emeinsainer Schliisselverwaltung stellt dieser 
Uienst die Schlussel entweder ebenfalls aus lokaler Verwaltung zur Vermgung oder - bei 

IVerbmdung beispielsweise im LAN - in Abstimmung mit einem zentralen ScSlvemalto 
IvZT SfeTe MerWl Z t ^ die u Verschl ^^g temporar auBer Kraft gesetzt 

Phyjchen sl^Jf v f besondere Wentifikation - beispielsweise eines 

efcsof Don^T " ^ 816 k6men ab6r aUGh in den Daten sein. So kann 

SSrwSSi^ V-*—-. so dass BCdZtt, 

Durch Zusammenschluss mehrerer Computer mit gemeinsamer Schlusselverwaltung entsteht 
exne Sacherhertsdomane [a (s. Skizze)]. Dabei ist es nicht notwendig, dasTa^TcompuS 
SSSr 12 !.;? 1 S ° koimen *™ Oder mehrere Abteilungen eines BetriebeTeS 
m^S^T 1 ^™: EbenS ° k6men dies mehrere Cora P uter ^es Benutzers a^ 
^^nf^^J^ d6nen DatCn Per Wechseldatentrager iibertragSn" 
Z£w ^ S + Chselbare Speichermedien [b], die innerhalb der Domane erstellt werden, bzw 
??T n tTi ^ d6r D ° mane 8 esc ^en werden, sind mit Compmem 

^Snfrmil t ■ 1 . esb *I Und ^kehrt [e]. Innerlialb der Domane konnen wechselbare 
peicnermedien freizugig benutzt werden [d] . 

eispielszenarien: 

rrT^Z^w 0 ^ 811 ^ 6 ^ Datensic ^™g eingesetzte Speichermedien konnen dezen- 
tral aufbewahrt werden. Besondere TransportsicherungsmaBnahmen entfallen. 

' ?f P T derS Se f ibk V Daten konnen ausschlieiSUch auf Wechselfestplatten gehalten werden 
lesbaT nen P yS1SCh we 8g eschl ossen werden und sind nur innerhalb der Sicherheitsdomane 

" SS?™ 6 ^^.^?^ 011 deS Datensc hutzes lassen sich leichter einhalten, da alle 
Speichermedien, die die Sicherheitsdomane verlassen vor unbefugtem Lesen geschiitzt sind. 

" wSf he ° der WirtSchaftliche Nachteile k6nnen ^s dem gleichen Grund vermieden 

- In einem LAN konnen lokale Datensicherungen (auf Clientcomputern) durchgefuhrt wer- 
den. Erne missbrauchliche Nutzung ist nicht zu beflirchten. 

' ^ e ^°. n ^ olliert % Ausf ?^g nicht freigegebener Programme kann unterbunden werden, 
dander Eontrag via Speichermedien nicht mSglich ist (sofern nicht CD-ROMs freigegeben 
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